MIMEスニッフィング とは？

面白い表現だけど、実際にはブラウザがファイルの中身を覗いて「これは本当は何のファイルだろう？」って判定する動作のことだよ。サーバーが「これはテキストです」って言っても、ブラウザが中身を見て「いや、これHTMLじゃない？」って勝手に判断しちゃうんだ

昔はサーバーの設定が雑で、Content-Typeヘッダーを正しく付けないサーバーがたくさんあったんだ。だからブラウザが「サーバーの情報だけじゃ信用できないな、自分で確認しよう」って親切心でやっていたんだよ。でもその親切心がセキュリティホールになっちゃったんだ

たとえば攻撃者が <script>alert('XSS')</script> というコードを含むファイルを画像としてアップロードしたとする。サーバーは「これは画像です」ってContent-Typeを付けるけど、ブラウザがスニッフィングして「中身はHTMLだ」って判断すると、スクリプトが実行されてXSS攻撃が成功しちゃうんだ

サーバーのレスポンスに X-Content-Type-Options: nosniff というヘッダーを付けるだけでOKだよ。これがあるとブラウザは「サーバーが言う通りのContent-Typeで解釈します、自分では推測しません」って動作になるんだ

そうなんだ。ただ注意点があって、nosniffを付ける場合はContent-Type自体を正しく設定しておく必要があるよ。たとえばJavaScriptファイルに間違ったContent-Typeが付いていると、nosniffのせいで今度はスクリプトとして読み込まれなくなって機能が壊れることがあるんだ

主要ブラウザは年々スニッフィングの範囲を狭めていて、特にscriptやstyleのコンテキストではnosniffなしでもスニッフィングしない方向に進んでいるよ。でもWHATWGのMIME Sniffing仕様では依然としてスニッフィングのアルゴリズムが定義されていて、完全になくなったわけじゃない。セキュリティヘッダーの設定はやっておくに越したことはないね